公开(公告)号：CN115102922A

公开(公告)日：2022-09-23

申请号：CN202210441899.5

申请日：2022-04-25

Applicant: 国家计算机网络与信息安全管理中心山东分中心 ,  南京莱克贝尔信息技术有限公司

Inventor： 焦亮 ,  魏斌 ,  李盛葆 ,  尹川铭 ,  李娜 ,  王占丰 ,  毛传奇 ,  陈嘉欣 ,  陈潇霆

IPC: H04L61/4511 ,  H04L61/5046 ,  H04L101/659

Abstract: 本发明涉及一种基于多地址比对结果扩展的IPv6活跃地址探测方法，包括：首先通过DNS解析、被动流量提取、第三方数据收集等方式获取一批活跃的IPv6种子地址，然后以比特为单位，以汉明距离作为相似度指标，来对这些IPv6种子地址的汉明距离进行计算，并以 元组形式构建距离列表，同时按照距离值从低到高的方式进行降序排列；完成距离列表的构建之后，从头开始顺序访问距离列表中的元组，定位出元组中地址IP1和地址IP2存在差异的比特位，然后对这些存在差异的比特位进行变异，并对变异产生的地址进行活跃性探测，从而实现对IPv6活跃地址的快速收集。本发明基于多地址比对结果来扩展IPv6活跃地址探测空间，可以较快地实现对活跃IPv6地址的发现。

公开(公告)号：CN111723579A

公开(公告)日：2020-09-29

申请号：CN202010553222.1

申请日：2020-06-17

Applicant: 国家计算机网络与信息安全管理中心 ,  南京莱克贝尔信息技术有限公司

Inventor： 张晓明 ,  何跃鹰 ,  孙中豪 ,  张嘉玮 ,  曹可建 ,  王占丰 ,  马玮骏 ,  毛传奇

IPC: G06F40/30 ,  G06F11/10 ,  G06F16/33

Abstract: 本发明公开了一种工控协议字段与语义逆向推断方法，包括导入、分类、分析和匹配，本发明结构科学合理，使用安全方便，通过根据报文的源IP地址以及长度对报文进行分类，将具有相同IP地址和长度的报文归为同一集合中，随后对每类集合的报文进行逐字节分析，然后再根据部分语义的特征与字节的特征进行比对，将分析后的报文中匹配到相应的语义的字节为独立的字段，则该字段的语义为对应的语义，从而实现工控协议的字段与语义逆向推断，解决了字段划分的不精确从而导致语义分析失败的问题，且准确地推断出协议的词法和语法，保证分析结果的正确性。

公开(公告)号：CN111723181A

公开(公告)日：2020-09-29

申请号：CN202010553659.5

申请日：2020-06-17

Applicant: 国家计算机网络与信息安全管理中心 ,  南京莱克贝尔信息技术有限公司

Inventor： 张晓明 ,  何跃鹰 ,  孙中豪 ,  张嘉玮 ,  曹可建 ,  王占丰 ,  马玮骏 ,  毛传奇

IPC: G06F16/33 ,  G06N20/00

Abstract: 本发明公开了一种基于主动学习的工控协议逆向分析方法，包括导入、初步分析、变异、匹配、合并，通过对工控协议pcap报文样本进行初步分析，掌握工控协议的部分报文格式和状态机，然后再利用该结果与工控机进行交互式主动学习，不断获取新的报文，从而更为准确和完整地推断出协议个词法和语法，且在对协议进行逆向分析时采用了Needleman-Wunsch序列比对算法，该算法通过相似度计分、最优回溯步骤推断协议的格式和状态机，有效保证了分析结果的准确性，同时结合主动学习过程，将响应报文与初步分析结果中的协议格式进行匹配，判断报文是否与这些协议格式相匹配，并根据需求进行反复的匹配，显著提高工控协议逆向的准确性和覆盖度。

公开(公告)号：CN107920115B

公开(公告)日：2020-08-11

申请号：CN201711144496.X

申请日：2017-11-17

Applicant: 南京莱克贝尔信息技术有限公司

Inventor： 王占丰 ,  马玮骏 ,  翁年凤 ,  毛传奇 ,  陈嘉欣

IPC: H04L29/08 ,  H04L29/12

Abstract: 本发明公开了一种基于时延和地理一致性约束的城市级IP定位方法，该方法首先通过大量测量建立测量点与目标城市的时延区间；然后，测量测量点对待验证的IP的时延并获取网络路径的逐跳IP；之后，检验待验证的IP的时延是否在目标城市的时延区间内，同时检验待验证IP网络路径内同一时延区间最后几跳的IP地理位置进行一致性验证确定待验证IP的最大可能位置。通过本发明可以对IP定位库中IP定位结果进行检验，广泛应用于网络攻击跟踪溯源、定向广告、在线防欺诈、网络空间态势呈现等领域，可有效改善IP定位的精度。

公开(公告)号：CN110213130A

公开(公告)日：2019-09-06

申请号：CN201910477261.5

申请日：2019-06-03

Applicant: 南京莱克贝尔信息技术有限公司

Inventor： 王占丰 ,  胡超 ,  马玮骏 ,  田益凡 ,  毛传奇 ,  陈嘉欣 ,  杭天 ,  谢赓

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明涉及一种基于迭代优化的工控协议格式分析方法，包括：将pcap文件中的报文数据导入，并加载到报文数据集中，之后用户自定义工控协议的格式以及各个字段的语义，再设置相似度分值，然后将报文数据集中的报文与自定义的协议格式逐个进行匹配，若匹配成功，则将该报文删除，直至所有报文都匹配完成，采用Needleman-Wunsch序列比对算法对报文数据集中的报文进行逆向分析，得到新的协议分析结果，之后用户判断是否结束此次协议逆向分析，若需要继续进行迭代分析，则将原来pcap文件中的所有报文重新加载到报文数据集中，然后再转步骤S2，否则结束分析。本发明基于迭代优化的工控协议格式分析方法，其能更为准确地推断出协议的格式和语法，保证分析结果的准确性。

公开(公告)号：CN119854031A

公开(公告)日：2025-04-18

申请号：CN202510316132.3

申请日：2025-03-18

Applicant: 南京莱克贝尔信息技术有限公司

Inventor： 王占丰 ,  陈嘉欣 ,  毛传奇 ,  陈潇霆 ,  马潇霄 ,  陈学文 ,  张枭

IPC: H04L9/40 ,  G06N3/0464 ,  G06N3/0455

Abstract: 本发明涉及网络安全技术领域，具体为一种基于多阶段的非合作网络攻击溯源方法；方法步骤为：基于协同认证码，在溯源过程中为网络设备和终端提供安全验证，确保溯源过程的可信性与完整性；基于攻击行为的特征提取，将网络攻击转化为行为特征数据；提取事件级特征，揭示攻击行为的时序关系及依赖关系，识别潜在攻击模式；运用因果分析对事件进行时间对齐，形成标准化因果链；结合Transformer网络与NLP预训练模型进行多维特征融合，识别攻击模式；结合IP地址数据库、自建组织库及代码作者库，采用多重级联CNN结构，进行攻击源头的定位与攻击者溯源。本发明通过多层次的特征分析，实现了对复杂网络攻击的精准识别与溯源。

公开(公告)号：CN119211144A

公开(公告)日：2024-12-27

申请号：CN202411677146.X

申请日：2024-11-22

Applicant: 南京莱克贝尔信息技术有限公司

Inventor： 王占丰 ,  陈嘉欣 ,  毛传奇 ,  陈潇霆 ,  马潇霄 ,  张枭

IPC: H04L47/2441 ,  H04L9/40 ,  G06F21/60

Abstract: 本发明涉及流量分类技术领域，具体为一种基于多维特征的加密流量内容识别方法及系统，包括：每隔预设的采样周期对多个预设的数据源的加密流量数据进行采集，以得到目标加密流量数据，对所述目标加密流量数据进行数据预处理操作，以得到标准目标加密流量数据；对所述标准目标加密流量数据进行特征提取，以得到所述标准目标加密流量数据所对应的统计特征和静态特征，对所述统计特征和所述静态特征进行编码，以得到统计特征向量和静态特征向量。本发明提取了多种统计特征，如包到达时间、包数量、包长度、包方向、包长度和传输方向的结合特征，这些统计特征能够有效反映数据流的时间依赖性和行为模式，为后续的分析和处理提供了丰富的信息。

公开(公告)号：CN119583219A

公开(公告)日：2025-03-07

申请号：CN202510127594.0

申请日：2025-02-05

Applicant: 南京莱克贝尔信息技术有限公司

Inventor： 王占丰 ,  陈嘉欣 ,  毛传奇 ,  陈潇霆 ,  马潇霄 ,  张枭 ,  陈学文

IPC: H04L9/40 ,  H04L41/14 ,  H04L41/16

Abstract: 本发明涉及网络安全态势生成技术领域，具体为一种基于多视角监测的网络安全态势生成方法；方法步骤为：构建多视角数据采集系统，从多维数据源中获取实时信息，同时利用智能感知技术实现潜在威胁的全面捕获；基于动态阈值自适应的多因子清洗方法，对采集的数据进行清洗、噪声过滤和特征提取，确保数据的准确性和一致性；采用基于深度学习的动态分析算法，挖掘安全事件之间的关联关系，预测潜在威胁的发展趋势；构建联合学习模型，综合评估网络环境的安全状态；利用可视化技术动态展示安全态势，并结合自动化预警与响应机制，快速生成安全策略以抵御威胁。本发明实现了对网络安全态势的精确评估和预测，为复杂网络环境中的安全决策提供支持。

公开(公告)号：CN119272207B

公开(公告)日：2025-02-25

申请号：CN202411793560.7

申请日：2024-12-09

Applicant: 南京莱克贝尔信息技术有限公司

Inventor： 王占丰 ,  陈嘉欣 ,  毛传奇 ,  陈潇霆 ,  马潇霄 ,  陈学文

IPC: G06F18/2433 ,  G06F18/214 ,  G06F18/213 ,  G06F18/25

Abstract: 本申请公开了一种基于多源信息融合的网络异常流量检测方法及系统，涉及网络异常流量检测领域，该方法包括：获取网络流量的静态数据；所述网络流量包括正常流量和异常流量；利用沙盒反演技术识别用户行为特征；使用端口扫描工具对网络空间资产进行扫描，得到网络空间资产特征；将所述静态数据、所述用户行为特征和所述网络空间资产特征进行融合，得到融合特征图；通过融合特征图对分类模型进行训练；通过训练后的分类模型对实际网络的异常流量进行检测。本申请能提高网络异常流量检测的全面性和准确性。

公开(公告)号：CN119272207A

公开(公告)日：2025-01-07

申请号：CN202411793560.7

申请日：2024-12-09

Applicant: 南京莱克贝尔信息技术有限公司

Inventor： 王占丰 ,  陈嘉欣 ,  毛传奇 ,  陈潇霆 ,  马潇霄 ,  陈学文

IPC: G06F18/2433 ,  G06F18/214 ,  G06F18/213 ,  G06F18/25

Abstract: 本申请公开了一种基于多源信息融合的网络异常流量检测方法及系统，涉及网络异常流量检测领域，该方法包括：获取网络流量的静态数据；所述网络流量包括正常流量和异常流量；利用沙盒反演技术识别用户行为特征；使用端口扫描工具对网络空间资产进行扫描，得到网络空间资产特征；将所述静态数据、所述用户行为特征和所述网络空间资产特征进行融合，得到融合特征图；通过融合特征图对分类模型进行训练；通过训练后的分类模型对实际网络的异常流量进行检测。本申请能提高网络异常流量检测的全面性和准确性。